第4章45网络信息安全.pptx

按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,4.5,网络信息安全,4.5,网络信息安,全,全,4.6.1,概述,4.6.2,数据加密,4.6.3,数字签名,4.6.4,身份鉴别与,访,访问控制,4.6.5,防火墙与入,侵,侵检测,4.6.6,计算机病毒,防,防范,4.5.1,概述,网络信息安,全,全受到的威,胁,胁及对策,篡改,s,d,数据被破坏，失去,完整性,2,保证数据完,整,整性：,所传输的交,易,易信息中途,不,不被篡改，,一,一旦遭到篡,改,改很快就能,发,发现,伪造,s,d,数据,(,包括用户身份,),被伪造，失去,真实性,3,真实性鉴别,：,：,对交易双方,的,的身份进行,认,认证，保证,交,交易双方的,身,身份正确无,误,误,窃听,s,d,数据被非法拷贝,危及数据的,机密性,1,数据加密：,即使数据在,网,网络传输过,程,程中被他人,窃,窃取，也不,会,会泄露秘密,4,防止否认：,交易完成后,，,，应保证交,易,易的任何一,方,方无法否认,已,已发生的交,易,易,确保信息安,全,全的技术措,施,施,（,1,）真实性鉴别：对通信双,方,方的身份和,所,所传送信息,的,的真伪能准,确,确地进行鉴,别,别,（,2,）访问控制：控制用户,对,对信息等资,源,源的访问权,限,限，防止未,经,经授权使用,资,资源,（,3,）数据加密：保护数据,秘,秘密，未经,授,授权其内容,不,不会显露,（,4,）保证数据完,整,整性：保护数据,不,不被非法修,改,改，使数据,在,在传送前、,后,后保持完全,相,相同,（,5,）保证数据可,用,用性：保护数据,在,在任何情况,（,（包括系统,故,故障）下不,会,会丢失,（,6,）防止否认：防止接收,方,方或发送方,抵,抵赖,（,7,）,审计管理,：监督用,户,户活动、,记,记录用户,操,操作等,4.5.2,数据加密,数据加密,的,的基本概,念,念,加密前的,原,原始数据,加密后的,数,数据,只有收,/,发方知道,的,的,用于加密,和,和解密的,信,信息,密码,(,cipher,):,将明文与,密,密文进行,相,相互转换,的,的算法,解密后恢,复,复的数据,目的：即,使,使被窃取,，,，也能保,证,证数据安,全,全,重要性：,数,数据加密,是,是其他信,息,息安全措,施,施的基础,基本概念,：,：,加密算法,的基本思,想,想,改变明文,中,中符号的,排,排列，或,按,按照某种,规,规律置换,明,明文中的,符,符号,例,1,移位式,helpme,变成,ehplem,例,2,替代式,(,恺撒密码,),：,phhwphdiwhu wkh fodvv,将文本中每个英文字母替换为字母表中排列在其,后,的第,k1,个字母,meet me after the class,k1=3,meetmeafter the class,将文本中每个英文字母替换为字母表中排列在其,前,的第,k2,个字母,K2=3,a,b,c,d,e,f,g,h,i,j,k,l,m,d,e,f,g,h,i,j,k,l,m,n,o,p,n,o,p,q,r,s,t,u,v,w,x,y,z,q,r,s,t,u,v,w,x,y,z,a,b,c,a,b,c,d,e,f,g,h,i,j,k,l,m,x,y,z,a,b,c,d,e,f,g,h,i,j,n,o,p,q,r,s,t,u,v,w,x,y,z,k,l,m,n,o,p,q,r,s,t,u,v,w,对称密钥,加,加密,方法,特点：,加密的密,钥,钥也用于,解,解密,密钥越长,，,，安全性,越,越好,计算量适,中,中，速度,快,快，适用,于,于对大数,据,据量消息,加,加密,明文,明文,密文,加密,解密,密钥,K1,密钥,K2,（数据传输）,密钥,K1=K2,对称密钥,加,加密方法,的,的标准,DES,算法（密,钥,钥长度56位）：,共有2,56,7.2,10,16,种可能,，,1998,年使用穷,举,举法仅花,费,费了,22,小时,15,分钟就攻,破,破,DES,现在广泛,使,使用,AES(,高级加密,标,标准,),，其密钥,长,长度为：,128,、,192,或,256,位,计算安全,性,性,(Computationally),破解的代,价,价超过了,消,消息本身,的,的价值,破解的时,间,间超过了,消,消息本身,的,的有效期,非对称密,钥,钥加密,方法,公钥加密,使用乙的,公钥加密,甲,乙,密 文,乙,丙,丁,戊,使用乙的,私钥解密,加密器,解密器,明文,明文,甲的,公钥环,使用一对不相同的密钥：,私钥只有本人知道，公钥可让其他用户知道,甲方使用,乙,乙的公钥,进,进行加密,乙方利用,自,自己的私,钥,钥解密,使用公钥,无,无法恢复,明,明文，也,无,无法推断,出,出私钥,乙用私钥,加,加密的消,息,息，甲只,有,有使用乙,的,的公钥才,能,能解密,只要密钥,长,长度足够,长,长，用,RSA,加密的信,息,息目前还,不,不能被破,解,解,网上银行,使,使用的,RSA,算法，其,密,密钥长度,为,为,1024,或,2048,位,选讲：,公钥加密,举,举例（,RSA,算法）,产生密钥,对,对：,选择两个,素,素数,p,和,q,且,p,q,计算：,n=pq,z=(p-1)(q-1),选择一个,比,比,z,小的整数,e,使得,e,和,z,互质,计算,d，使得ed-1,能,能被z整,除,除,于是公钥,为,为：,e,n,私钥为：,d,n,使用：,加密:,C=M,e,modn,解密:,M=C,d,modn,选择,:p=5,q=7,计算：,n=35,z=24,选择,:e=5,5,和,24,互质,选择：,d=29,(,因为,(5x29-1)/24=0),于是公钥,为,为：,5,35,私钥为：,29,35,使用举例,：,：设明文,中,中的字母,为,为,L,，即,M=12,加密:,C=12,5,mod35=17,解,密,密:,M=17,29,mod35=12,z,称为,n,的,Euler,数,由,于,于,n=pq,是,公,公,开,开,的,的,，,，,所,所,以,以,，,，,为,为,了,了,防,防,止,止,攻,攻,击,击,者,者,利,利,用,用,n,推,算,算,出,出,p,和,q,，,，,必,须,须,选,选,择,择,足,足,够,够,大,大,的,的,素,素,数,数,p,和,q,，,使,使,n,达,到,到,1024,位,以,以,上,上,，,，,才,才,能,能,不,不,被,被,破,破,解,解,n,为,6 bits,4.5.3,数,字,字,签,签,名,名,用,于,于,认,认,证,证,消,消,息,息,的,的,真,真,实,实,性,性,消,息,息,认,认,证,证,(MessageAuthentication),在,通,通,信,信,过,过,程,程,中,中,，,，,应,应,防,防,止,止,发,发,生,生,：,：,伪,造,造,消,消,息,息,（,（,无,无,中,中,生,生,有,有,）,）,窜,改,改,消,消,息,息,内,内,容,容,消,息,息,认,认,证,证：,对,对,收,收,到,到,的,的,消,消,息,息,进,进,行,行,验,验,证,证,，,，,验,验,证,证,它,它,确,确,实,实,来,来,自,自,声,声,称,称,的,的,发,发,送,送,方,方,(,消,息,息,的,的真,实,实,性,性,),，,且,且,没,没,有,有,被,被,修,修,改,改,过,过,(,消,息,息,的,的完,整,整,性,性,),常,规,规,解,解,决,决,方,方,案,案,：,：签,字,字,盖,盖,章,章,，,，,人,人,工,工,检,检,验,验,有,有,无,无,涂,涂,改,改,迹,迹,象,象,与,被,被,签,签,文,文,件,件,在,在,物,物,理,理,上,上,不,不,可,可,分,分,割,割,签,名,名,者,者,不,不,能,能,否,否,认,认,自,自,己,己,的,的,签,签,名,名,签,名,名,不,不,能,能,被,被,伪,伪,造,造,计,算,算,机,机,网,网,络,络,的,的,解,解,决,决,方,方,案,案,：,：数,字,字,签,签,名,名,什,么,么,是,是,数,数,字,字,签,签,名,名,？,？,数,字,字,签,签,名,名,的,的,含,含,义,义,：,：,数,字,字,签,签,名,名,是,是,与,与,消,消,息,息,一,一,起,起,发,发,送,送,的,的,一,一,串,串代码,，它无法伪,造,造，并能发,现,现消息内容,的,的任何变化,数字签名的,目,目的：,让对方相信,消,消息的真实性,数字签名的,用,用途：,在,电子商务和,电,电子政务中,用,用来鉴别消,息,息的真伪,对数字签名,的,的要求：,无法伪造,能发现消息,内,内容的任何,变,变化,数字签名的,处,处理过程,hashing,摘要,消息正文,私钥加密,数字,签名,添加至正文,附有数字签名的消息,数字,签名,传送,对原始消息的正文进行散列处理,生成,消息的摘要,使用消息发送人的私钥对摘要进行加密而得到数字签名,接收方使用发送方的公钥对数字签名解密恢复出消息摘要,对收到的原始消息正文进行散列处理得到一个新的摘要,对比,附有数字签名的消息,数字,签名,网络,传送给接收方,将数字签名添加到原始消息,数字签名正确,消息未被篡改,数字签名中,的,的双重加密,用接收方的,公,公钥对已添,加,加了数字签,名,名的消息再,进,进行加密,用接收方的,私,私钥对接收,的,的消息解密,并,并取出数字,签,签名,用发送方的,私,私钥加密信,息,息摘要，得,到,到数字签名,用发送方的,公,公钥解密数,字,字签名，得,到,到信息摘要,4.5.4,身份鉴别与,访,访问控制,身份鉴别(,认,认证),身份鉴别的,含,含义,:,证实某人的,真,真实身份是,否,否与其所声,称,称的身份相,符,符,以防止欺诈,和,和假冒,什么时候进,行,行,?,在用户登录,某,某个系统，,或,或者在访问,/,传送重要消,息,息时进行,身份鉴别的,依,依据,(,方法,):,鉴别对象本,人,人才知道的,信,信息,(,如口令、私钥、身,份,份证号等,),鉴别对象本,人,人才具有的,信,信物,(,例如磁卡、,IC,卡、,USB,钥匙等,),鉴别对象本,人,人才具有的,生,生理特征,(,例如指纹、,手,手纹等,),通常在注册,时,时记录在案,口令（密码,）,）容易被猜,、,、被盗、被,偷,偷窥，电脑,中,中植入的木,马,马程序会记,录,录操作者的,键,键入数据，,发,发送给黑客,进,进行分析，,以,以查找密码,双因素认证,（,（口令,+,磁卡，口令,+U,盾）大大提,高,高了安全性,！,！,选讲：,例：网上银,行,行的身份认,证,证,/,信息安全,网上银行：,使,使用因特网,完,完成银行的,各,各种金融服,务,务，如账户,查,查询、转账,、,、网上支付,等,等,网上银行的,组,组成：,客户端：电,脑,脑,(,,),，以及,USB Key,、口令卡等,通信网络：,使,使用,HTTPS,协议保证传,输,输过程中不,被,被窃听,服务器：高,效,效和安全地,处,处理各种网,上,上银行业务,网上银行用,户,户身份认证,的,的,3,种方式：,用户名,+,口令（仅适,合,合账户查询,）,）,用户名,+,口令,+,文件证书（,数,数字证书在,浏,浏览器中）,用户名,+,口令,+USB,证书（数字证书在,U,盾中）,选讲：,数字证书,数字证书是,一,一组数据构,成,成的电脑文,件,件，包含用,户,户的身份信,息,息、颁证机,构,构、有效期,及,及一个公钥,。

凭借数字,证,证书，拥有,人,人可在互联,网,网交往中互,相,相识别对方,的,的身分，确,保,保信息安全,数字证书从,数,数字证书认,证,证中心（,CA,中心）获得,，,，获得的证,书,书可存放在,：,：浏览器、,U,盾、,IC,卡中,数字证书用,途,途：,证实用户身,份,份,验证网站,(,或软件,),是否可信,进行数字签,名,名，确保通,信,信真实、不,可,可抵赖,选讲,：,：。